マイクロソフト、Windows 365CloudPCのセキュリティに関するガイダンスを公開

Microsoftは、Windows 365CloudPCのセキュリティ関するガイダンスと、内蔵されたセキュリティ機能に関する詳細情報を公開しました。

このガイダンスは、Windows 365 BusinessとWindows 365 Enterpriseのサブスクリプションプランに登録されているCloud PCを保護するためにユーザが取るアクションに分けられています。

Windows 365のプリンシパル・プログラム・マネージャーであるChristiaan Brinkhoff氏は、

すべてのクラウドPCには、物理的なPCと同様にMicrosoft Defenderが搭載されており、初回起動時からデバイスを保護することができます。クラウドPCは、Windows Update for Businessを通じてWindows 10の最新の累積更新プログラムで自動的に更新されるギャラリーイメージを使用してプロビジョニングされます。

と述べています。

Securing your Windows 365 Cloud PCs
Today, we are sharing details on what security capabilities Windows 365 provides out of the box and additional actions you can take to secure your Cloud PCs. We...
techcommunity.microsoft.com

Windows 365 クラウド PC のセキュリティについて

エンドユーザーにローカル管理者権限が自動的に付与される「Windows 365 Business」を選択した企業の場合、IT管理者は標準的なITセキュリティプラクティスに従って、Microsoft Endpoint Managerを使用して各ユーザーをデバイスの標準ユーザーに設定することが推奨されています。

以下のステップを踏む必要があります。

  • 自動登録を使用してMicrosoft Endpoint Managerに登録するようにデバイスを設定する。
  • Local Administratorsグループを管理する。Azure Active Directoryを使用して行う方法の詳細については、「Azure ADに参加したデバイスのローカル管理者グループを管理する方法」を参照してください。Microsoft Endpoint Managerを使用した方法の例としては、Microsoft MVPのPeter van der Woude氏の投稿を参照してください。
  • Microsoft Defender Attack surface reduction (ASR)ルールの有効化を検討します。ASRルールは、Windowsのローカルセキュリティオーソリティサブシステムからのクレデンシャルの盗用をブロックするなど、特定のセキュリティ上の懸念に対する詳細な防御対応策です。ASR ルールを有効にする方法の詳細については、「攻撃面削減ルールを有効にする」を参照してください。

Windows 365 Enterprise Cloud PC は、すべて Microsoft Endpoint Manager に登録されているため、セキュリティを確保する必要がある IT 管理者は、より簡単に作業を行うことができます。

また、Microsoft Defender Antivirusのアラートのレポート機能や、オプションでMicrosoft Defender for Endpointの機能へのオンボーディングも提供されています。

Windows 365 Enterprise PCのエンドユーザーは、デフォルトで自動的に標準ユーザーとして設定されますが、管理者は必要に応じてユーザーごとに例外を設定することができます。

  • クラウドPCのセキュリティをさらに高めるために、マイクロソフトは、Windows 365 Enterpriseのユーザに以下のアドバイスをしています。
  • ローカル管理者権限でクラウドPCにログオンできるユーザーを制限するなど、Windows 10の標準的なセキュリティ対策に従う。
  • Microsoft Endpoint ManagerからクラウドPCにWindows 365セキュリティベースラインを導入し、Microsoft Defenderを活用して、すべてのクラウドPCを含むエンドポイントに徹底した防御を提供する。Windows 365 のセキュリティベースラインは、前述の ASR ルールを有効にしています。
  • Azure AD の条件付きアクセスを導入することで、多要素認証(MFA)やユーザー/サインインのリスク軽減など、クラウド PC に対する安全な認証を実現。

Windows 365のセキュリティに関する問題点

Azure Virtual Desktop上で動作するMicrosoftのWindows 365サービスは、8月2日に一般提供が開始されたばかりですが、セキュリティ研究者たちはすでに、顧客のネットワークを攻撃にさらすセキュリティ上の脆弱性を発見しています。

マイクロソフト社のクラウドPCを体験するため、2ヶ月間の無料仮想PCを手に入れようとする人が殺到し、あっという間に無料トライアル上限を使い果たしてしまいました。

Mimikatzの生みの親であるBenjamin Delpyは、Mimikatzを利用して、ログインしたユーザーの平文のMicrosoft Azure認証情報をMicrosoftの新しいWindows 365 Cloud PCサービス上にダンプする方法を見つけたとコメントしています。

新しいmimikatzを試してみませんか?
(リモートデスクトップクライアントにももちろん使えます!)

この方法を実行するために、攻撃者はAdministrator権限とAzureアカウントの認証情報を必要としますが、フィッシング・対象となるクラウドPC上に配置されたリモートアクセスプログラム・PrintNightmareなどの特権昇格バグの悪用を組み合わせることで、すぐに実行することができます。

攻撃者は、Windows 365 の認証情報を手に入れると他のマイクロソフトのサービスを経由して、企業ネットワークに侵入することができます。

このような攻撃から保護するために、2FA、スマートカード、Windows Hello、Windows Defender Remote Credential Guardを使用することを推奨しています。

しかし、残念ながらMicrosoft社はこれらのセキュリティ機能をWindows 365ではまだ提供していません。

コメント

タイトルとURLをコピーしました